IP 범위가 충돌하는 사이트 간 Azure VPN Gateway 터널에 대한 해결 방법

tag-icon tag-icon vpn azure ip gateway
IP 범위가 충돌하는 사이트 간 Azure VPN Gateway 터널에 대한 해결 방법

Azure VPN Gateway와 각 클라이언트 위치의 다양한 온프레미스 네트워크 어플라이언스를 사용하는 사이트 간 VPN 연결이 있습니다. 새로운 연결을 온보딩하려고 하는데 IP 범위가 상대편 네트워크와 충돌합니다. 아래 다이어그램은 클라이언트 측에서 모든 세부 사항을 가지고 있지 않기 때문에 느슨하게 해석되었지만 아마도 가장 잘 설명하지만 사실은 다음과 같습니다.

Azure VPN S2S 터널의 양쪽 끝에서 IP 범위 충돌

  • 네트워크 A(192.168.1.0/24)는 Azure VPN Gateway 뒤에 위치하며 우리의 책임입니다.
  • 네트워크 B(192.168.2.0/24)는 네트워크 A에서 발생하는 패킷의 대상 네트워크이며 고객의 책임이며 프라이빗 클라우드에서 호스팅됩니다.
  • 네트워크 C(192.168.1.0/24)는 클라이언트의 프라이빗 클라우드 내에서 IP 범위 충돌을 나타내는 점을 제외하면 트래픽과 관련이 없는 프라이빗 클라우드 내의 또 다른 네트워크입니다.

Azure 지원에서는 현재 충돌 범위가 지원되지 않으므로 충돌하는 네트워크 중 하나를 다시 IP화하는 것이 유일한 해결 방법이라고 밝혔습니다. 그들에 따르면 NAT는 터널의 양쪽 끝에서 실행 가능한 솔루션이 아닙니다. Azure VPN Gateway 뒤에 새 서브넷을 추가하고 트래픽을 네트워크 A로 전달/NAT하는 것도 지원되지 않습니다.

네트워크 A를 다시 IP화하는 결과로 인해 우리는 이를 다시 IP화하고 싶지 않습니다. 당연히 클라이언트는 자신의 네트워크인 네트워크 C에도 다시 IP를 할당하기를 원하지 않습니다. 어쩌면 나는 단지 부정하고 있을 수도 있지만 다른 사람이 이 시나리오에 직면하여 성공적으로 해결했거나 해결한 적이 있습니까?없이재IP를 하시나요? 그렇다면 참조할 수 있는 솔루션을 지원하는 문서나 구성을 제공해 주시면 감사하겠습니다.

도움을 주셔서 미리 감사드립니다.

답변1

  • 특정 라우팅

충돌하지 않는 A와 B 네트워크 간의 라우팅에 관심이 있다고 작성하셨습니다... SonicWall이 이 "내부 클라이언트 네트워크" 간에 라우팅하고 네트워크 C에서 특정 IP를 사용하지 않는 것이 가능한 경우 다음을 통해 라우팅할 수 있습니다. 전체 192.168.1.0/24에 대한 네트워크가 아니라 /32와 같은 특정 IP에 대한 네트워크입니다. 라우팅 결정에서 "더 나은 일치가 승리합니다". 이 경우 특정 트래픽은 B에서 A로 올바르게 라우팅되고 나머지는 네트워크 C로 전달됩니다.

VPN 유형에 따라 SonicWall에서 구성하는 것이 더 쉬울 수도 있고 어려울 수도 있지만(가능한 경우) 기술적으로는 NAT 없이도 그렇게 할 수 있습니다. 최악의 경우 추가 장치가 Azure에 대한 VPN을 종료하도록 할 수 있으며 SonicWall에는 이러한 IP를 이 추가 노드로 전달하는 정적 경로 규칙이 있습니다.

이렇게 하면 C에서 Azure 측에 연결할 수 없지만 작성한 내용에 따르면 문제가 되지 않습니다.

  • NAT

작성하신 대로 Azure VPN GW는 이 기능을 제공하지 않습니다. 유일한 옵션은 터널 반대편(SonicWall Appliance)에서 수행하는 것입니다. B, C 측에서는 사용되지 않는 IP 범위(예: 172.16.0.0/24)와 같은 "원격" 사이트의 주소를 지정할 수 있으며 일단 SonicWall에 도달하면 VPN으로 라우팅될 수 있으며 노드를 떠나기 전에 dNAT화/매핑됩니다. 예를 들어 마지막 옥텟 값을 유지하거나 필요한 모든 IP를 나열하는 1:1 맵을 수행하는 동안 192.168.1.0/24로 변경됩니다. 이렇게 하면 VPN 트래픽의 경우 Azure 측의 원격 IP가 "적절한" 192.168.0.0/24가 되고 Azure 측에서는 NAT에 대해 전혀 알 수 없습니다.

어떤 이유로든 SonicWall에서 이 작업을 수행할 수 없는 경우 VPN 터널을 종료하고 로컬 네트워크에서 172.16.0.0/24 트래픽(경로)을 종료하는 자체 관리 하에 이를 수행할 수 있는 다른 장치를 배치할 수 있습니다. 로컬 라우터에서).

유일한 문제는 192.168.1.0/24 주소로 응답하는 DNS와 식별을 위해 IP를 사용하는 인증서를 사용하는 경우입니다. DNS 항목의 경우 클라이언트가 "올바른" 끝점에 연결하려면 "업데이트된" 값을 가진 로컬 DNS 영역이 필요합니다.

관련 정보